OpenID暗黙フローと標準フローの使用例は何ですか？ <a href="http://openid.net/specs/openid-connect-core-1_0.html#ImplicitFlowAuth" rel="nofollow">http://openid.net/specs/openid-connect-core-1_0.html#ImplicitFlowAuth</a></p> <p>標準流れ対：

Question

どのようなケースでは、OpenIDの接続暗黙のフローを使用しますか？ http://openid.net/specs/openid-connect-core-1_0.html#CodeFlowAuth

Answer 1

認証コードフローは、生成されたトークンをユーザーから隠し、適切なクライアントアプリケーションだけがアクセスできるようにします。それは三方通信です：

1. ユーザはopenidプロバイダに認証されます。
2. openidプロバイダは認証コードをユーザのブラウザに返します。
3. ユーザーのブラウザは、認証コードをクライアントアプリケーションに渡します。
4. クライアントアプリケーションは、認証コードとクライアントシークレットで、クライアントアプリケーションであることを確認するopenidプロバイダを呼び出します。
5. openidプロバイダは実際のアクセストークンを返します。

このフローは、アクセストークンがクライアントブラウザに公開されないため、サーバーベースのアプリケーションの方が安全です。サーバーアプリケーションは、クライアントシークレットを使用して自身を認証し、誰もそれを使用することができません。

クライアント全体がブラウザのJavascriptで実行されるとき、暗黙のフローが使用されます。 javascriptクライアントは「クライアントの秘密」を保持できないため、そのための使用はなく、javascriptクライアントはブラウザでトークンを利用できるようにする必要があります。単純な解決策は、openidプロバイダにアクセストークンをブラウザに直接返すことです。